火山引擎云身份中心与阿里云IDaaS单点登录及账户同步

一、在 IDaaS 侧配置

1. 创建应用

   1. 登录IDaaS管理控制台，在左侧导航栏中，选择 EIAM 云身份服务 。选择对应的 IDaaS 实例，单击操作列的访问控制台。

   2. 单击应用 > 添加应用，搜索火山引擎云身份中心，单击添加应用。

   3. 确认应用名称后，单击立即添加。

2. 配置单点登录参数。在登录访问 > 单点登录页签配置火山引擎云身份中心相关参数。

   1. 单点登录配置：启用单点登录。

   2. 火山引擎云身份中心 ACS URL：填写火山引擎云身份中心提供的 ACS URL。

   3. 火山引擎云身份中心 Entity ID：填写火山引擎云身份中心提供的 Entity ID。

   4. 应用账户：选择应用账户。

   5. 授权范围：根据实际需求选择手动授权或全员可访问。

3. 获取身份提供商信息。在应用配置信息栏下载IdP 元数据，用于配置火山引擎云身份中心的身份提供商信息。

4. 分配用户访问权限。在应用账户下添加访问用户信息。

   重要

   确保 IDaaS 应用的用户名与火山引擎云身份中心的用户名一致。

   

二、在火山引擎侧配置

1. 登录火山引擎云身份中心，单击用户管理 > 用户登录设置 。

2. 在SSO 登录设置中。

   1. 获取服务提供商信息 ACS URL 和 Entity ID，分别填入 IDaaS 中的火山引擎云身份中心应用。

   2. 身份提供商信息：上传在 IDaaS 下载的IdP 元数据文件。上传完成后，系统将自动开启 SSO 登录功能。

   

三、验证 SSO

完成 SSO 登录配置后，您可以从 IDaaS 用户门户侧发起 SSO 登录。

1. 登录IDaaS用户门户。

2. 单击访问火山引擎云身份中心应用。

3. 系统将自动跳转至火山引擎云身份中心且无需再次认证。

一、在火山引擎侧配置

1. 在用户管理 > 用户同步设置导航栏，单击配置身份源，选择SCIM身份源。

2. 单击生成SCIM密钥。

   说明

   此密钥只显示一次，请复制后妥善保存，用于填写IDaaS侧Bearer Token密钥。

   

二、在 IDaaS 侧配置

1. 在火山引擎云身份中心应用下切换至账户同步页签，开启IDaaS同步到应用并设置同步范围。

2. 填写密钥信息。在基础配置页签，填写步骤一获取的SCIM 端点和Bearer Token。

3. 操作调用。您可以选择性地订阅关注的变更事件，获取即时推送。当IDaaS同步范围内的用户发生对应变更时，系统将自动触发同步并实时更新至应用中。

   说明

   由于应用的 SCIM 接口未完全遵循标准协议实现，用户组详情接口无法返回组成员信息，因此在移除用户组成员时，不支持通过同步方式完成操作。

4. 字段映射。用于展示和编辑SCIM同步过程中的字段映射关系，您可以根据实际需求进行更改。

5. 映射标识。映射标识是SCIM filter查询可用的字段列表，一般与协议标准及业务字段相互对应，通常无需修改。

6. 测试连接。在配置完成保存后，建议您通过测试连接功能检查配置是否正确。

7. 一键推送。管理员可以通过一键推送功能，将在同步范围内的账户一次性全部推送到腾讯云集团账号管理。

三、验证同步

1. IDaaS侧验证。

   单击一键推送后，同步范围内账户会同步至腾讯云集团账号管理。如果推送成功后系统会提示任务成功，您可以前往日志 > 同步日志 > 任务执行中查看日志。

2. 火山引擎验证。

   在火山引擎左侧导航栏，用户管理 > 用户查看IDaaS账户同步的目标账户，创建方式列会显示同步。